王琎

隨著網(wǎng)絡空間技術的發(fā)展以及云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、區(qū)塊鏈等新技術、新應用的不斷涌現(xiàn)，網(wǎng)絡社會提升到了一個新水平、新階段。面對網(wǎng)絡空間各領域參與主體的迅猛擴張，安全問題愈發(fā)凸顯，電子認證服務作為確認網(wǎng)絡主體及行為、保障用戶權益、認定法律責任的重要手段，需求日益升溫。經(jīng)過多年的發(fā)展和市場培育，我國電子認證服務產(chǎn)業(yè)初具規(guī)模，上下游產(chǎn)業(yè)鏈條不斷完善，包括電子認證軟硬件提供商、電子認證服務機構、電子簽名應用產(chǎn)品和服務提供商、電子認證公共服務機構、應用單位和終端用戶等主體。回顧2017年，電子認證服務業(yè)在各方面都取得一定業(yè)績。

電子認證服務業(yè)整體發(fā)展現(xiàn)狀

產(chǎn)業(yè)規(guī)模繼續(xù)擴大。近年來，電子認證服務產(chǎn)業(yè)總體規(guī)模保持快速增長態(tài)勢，2017年電子認證服務產(chǎn)業(yè)總體規(guī)模實現(xiàn)220億元，同比增長14.1%。其中，電子認證軟硬件市場規(guī)模157.6億元，電子認證服務機構營業(yè)額55.4億元，電子簽名應用產(chǎn)品和服務市場規(guī)模7億元。

標準化工作穩(wěn)步推進。當前，我國電子認證服務相關標準可分為兩個層面：一是國家標準層面，該項工作由全國信息安全標準化技術委員會（以下簡稱信安標委）負責;二是行業(yè)標準層面，由各相關領域的主管部門根據(jù)職責發(fā)布行業(yè)標準。截止到2017年底，我國正式發(fā)布的電子認證相關國家標準達80項，其中，基礎設施類標準基本成熟，相關標準有29項，2017年新發(fā)布3項標準。技術類標準較為完備，相關標準34項，2017年新增6項標準。管理類標準相對較少，有3項，應用支撐類標準發(fā)展較快，有14項。與此同時，密碼行業(yè)標準進展良好，國密局2017年努力推進行業(yè)標準晉升為國家標準和國際標準。2017年11月3日，在第55次ISO/IEC聯(lián)合技術委員會信息安全技術分委員會（SC27）德國柏林會議上，含有我國SM2與SM9數(shù)字簽名算法的ISO/IEC14888-3附錄1獲得一致通過，成為ISO/IEC國際標準。

數(shù)字證書應用逐步普及。截至2017年底，全國有效數(shù)字證書總量約達3.41億張，其中，個人證書約2.78億張，機構證書約5900萬張，設備證書約364萬張。數(shù)字證書覆蓋區(qū)域日漸擴大。數(shù)字證書跨境互認應用持續(xù)推進。近年來，工業(yè)和信息化部已經(jīng)對申請開展粵港電子簽名認證跨境互認的CA機構進行了核準，并開展數(shù)字證書跨境應用。數(shù)字證書主要應用于六大領域，即移動互聯(lián)網(wǎng)、金融、電子政務、醫(yī)療衛(wèi)生、電子商務和教育。此外，一證多用和未能嚴格區(qū)分領域的其他應用證書得到迅猛發(fā)展。其中，應用最多的是移動互聯(lián)網(wǎng)領域，有22860萬多張有效數(shù)字證書;其次是電子商務領域，約3860萬張;再次是金融領域，約1820萬張;第四是電子政務領域，約1300萬張;第五是醫(yī)療衛(wèi)生領域，約58.6萬張;第六是教育領域，約2萬張。此外，其他領域，約4199.4萬張。

我國電子認證服務業(yè)的發(fā)展趨勢

電子政務數(shù)字證書互通互認跨入快速發(fā)展階段。2018年7月31日，國務院印發(fā)《關于加快推進全國一體化在線政務服務平臺建設的指導意見》（發(fā)文字號：國發(fā)〔2018〕27號，以下簡稱《指導意見》）?！吨笇б庖姟返母郊€包含了《全國一體化在線政務服務平臺建設組織推進和任務分工方案》?！吨笇б庖姟肪碗娮诱辗掌脚_“一網(wǎng)通辦”做出了重要部署，并明確了部署任務的責任部門及完成時間點。其中，“統(tǒng)一身份認證”“統(tǒng)一電子印章”“統(tǒng)一電子證照”三項任務，試點地區(qū)、部門應于2019年底前完成，全國范圍2020年完成。電子政務數(shù)字證書是電子認證服務業(yè)的重要領域，國家政務服務平臺將會基于自然人身份信息、法人單位信息構建統(tǒng)一身份認證平臺，該平臺將會打通電子政務中各部門區(qū)域的信息壁壘，從而推進數(shù)字證書的跨區(qū)域互通互認。電子政務數(shù)字證書互通互認將會在2018年至2020年快速發(fā)展。

電子認證服務市場結構將進一步調整。伴隨國家“放管服”工作的推進，2017年起，工商、稅務等部門開始推進電子營業(yè)執(zhí)照及報稅憑證的收費機制整改。特別是2018年4月，國稅總局發(fā)布了《關于落實第三方CA證書收費整改工作的通知》。這些政策的出臺和調整對電子認證服務行業(yè)的市場結構產(chǎn)生了重要的影響。截至2017年底，機構證書及個人證書在數(shù)字證書的總占比高達98.8%，總數(shù)達3.37億張。在各CA中，原工商、稅務的證書所產(chǎn)生的業(yè)務量在部分電子認證服務機構中的占比約為20%至40%。賽迪智庫認為，在2018至2020年，電子認證服務的市場結構將會出現(xiàn)調整。其中，電子政務（包括工商、稅務等）相關部分的市場將進一步優(yōu)化調整，部分自然人、法人領取的多種不同事項數(shù)字證書將會伴隨“一網(wǎng)通辦”工作的推進逐漸統(tǒng)一。部分以工商、稅務電子證書為主營業(yè)務CA的證書量及營收會出現(xiàn)縮減的情況。

服務器證書業(yè)務有望成為下一個新興增長點。隨著個人隱私越來越受到人們的重視，在網(wǎng)絡上使用明文傳輸網(wǎng)頁數(shù)據(jù)逐漸被人們認為是不安全的行為。最近幾年來，越來越多的網(wǎng)站開始使用服務器證書及TLS協(xié)議保證瀏覽網(wǎng)頁的安全。谷歌作為互聯(lián)網(wǎng)行業(yè)的領軍企業(yè)，從微軟的手中搶占了全球互聯(lián)網(wǎng)瀏覽器超過一半的市場份額。以Chrome瀏覽器為抓手，谷歌推行了與微軟IE的差異化競爭策略，以數(shù)據(jù)安全為切入點，谷歌努力將自己實現(xiàn)的TLS1.3草案推行成為互聯(lián)網(wǎng)行業(yè)標準。而TLS的使用離不開電子認證服務機構頒發(fā)的服務器證書。目前我國絕大多數(shù)服務器證書市場均由外國廠商占領，國內(nèi)CA機構參與的競爭并不充分，市場份額潛力大。商業(yè)CA頒發(fā)的服務器證書售價較高，有充分的利潤空間，在電子認證服務機構轉型的過程中，服務器證書領域有望成為下一個新型增長點。

國產(chǎn)密碼算法的配套標準及工具逐步成型。通過近幾年的努力，我國國密算法的標準化工作一直在高速推進。2017年11月3日，在第55次ISO/IEC聯(lián)合技術委員會信息安全技術分委員會（SC27）德國柏林會議上，含有我國SM2與SM9數(shù)字簽名算法的ISO/IEC14888-3附錄1獲得一致通過，成為ISO/IEC國際標準，標志著我國向國際標準化組織（ISO）和國際電工委員會（IEC）貢獻中國智慧和中國標準取得重要突破，將進一步促進我國在密碼技術和網(wǎng)絡空間安全領域的國際合作和交流。2018年4月，我國提出的SM9-KA秘鑰協(xié)商協(xié)議納入ISO/IEC11770-3、ZUC序列密碼算法納入ISO/IEC18033-4、SM9-IBE納入ISO/IEC18003-5三項密碼算法標準化提案獲得國際立項，我國密碼專家被任命為項目報告人。伴隨近年來分布式計算、超算的發(fā)展，國外密碼界將以RSA為代表傳統(tǒng)算法升級為以ECC為代表的新一代算法的呼聲越來越高。我國目前已經(jīng)在標準和配套工具上做好了積累和準備，國密SM2/SM3/SM4/SM9算法有望在近幾年算法升級的浪潮中，打破國外加密算法壟斷各行業(yè)應用的格局，使我國電子認證服務業(yè)提前布局的國密算法系列證書得到更為廣泛的應用。

我國電子認證服務業(yè)發(fā)展的主要問題

電子認證新應用新模式拓展不足。當前，大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等新形態(tài)、新業(yè)務的迅速發(fā)展給網(wǎng)絡空間帶來了豐富的應用，形成了大量有價值的數(shù)據(jù)資產(chǎn)。隨著人們生產(chǎn)生活與網(wǎng)絡空間的緊密結合，各類安全風險也隨之而來，網(wǎng)絡安全保障需求也與日俱增。這促使新的認證需求不斷開啟，推動了認證方式的多元化。實際上，除了基于PKI的數(shù)字證書認證方式外，現(xiàn)在已經(jīng)出現(xiàn)了短信密碼、動態(tài)口令牌、手機令牌、智能卡、生物識別等一系列認證方式，雖然這些認證方式在技術角度并不比電子簽名安全性高，但大都是針對特定的應用場景，加之都符合其自身安全要求，具備操作便捷、用戶友好等特點，從而得到了廣泛應用。然而，作為互聯(lián)網(wǎng)環(huán)境下保障人們合法權益的重要手段，電子認證服務的應用模式較為單一，主要提供企業(yè)、自然人數(shù)字證書服務，應用范圍也僅限于網(wǎng)絡身份認證，相對狹窄。由于自身應用過程繁瑣，在很多互聯(lián)網(wǎng)應用中很難得到認可，電子簽名相關應用尚未大規(guī)模開展，不利于行業(yè)的進一步發(fā)展。此外，我國電子認證服務機構多以政府部門自建或國有資產(chǎn)控股為主，在運營上有比較穩(wěn)定的客戶，經(jīng)營收入方面不存在后顧之憂，容易導致滿足于現(xiàn)狀，缺乏對新應用、新模式的開拓動力，技術創(chuàng)新、業(yè)務創(chuàng)新明顯不足。

電子認證服務資金投入力度較弱。當前，社會各界對電子認證服務重要性的認識程度仍顯不足，認為電子認證服務僅僅是一項市場化活動，忽略了電子認證服務在網(wǎng)絡信任體系建設中重要基礎設施的作用，因而，對電子認證技術研發(fā)和創(chuàng)新、基礎設施建設等方面的資金支持力度，與其他信息技術產(chǎn)業(yè)相比仍然較弱。政府通過資金補貼、項目支持等政策激勵企業(yè)開發(fā)擁有自主知識產(chǎn)權的國產(chǎn)化技術和產(chǎn)品、搭建全國性的基礎平臺（如政府外網(wǎng)、內(nèi)網(wǎng)訪問控制平臺、統(tǒng)一網(wǎng)絡身份管理與服務平臺等）的力度不強，在投融資渠道方面，風險投資、民營資本投入到電子認證服務業(yè)的力度也非常有限。

自建電子認證系統(tǒng)給行業(yè)發(fā)展造成巨大沖擊。目前，部分行業(yè)主管部門大力建設電子認證服務系統(tǒng)，在管轄領域的電子政務對公服務中向用戶提供電子認證服務，對行業(yè)電子政務數(shù)字證書應用帶來極大挑戰(zhàn)。如國家市場監(jiān)管總局已建設完成的電子營業(yè)執(zhí)照系統(tǒng)中含有電子認證系統(tǒng)，將數(shù)字證書與電子營業(yè)執(zhí)照綁定，同時發(fā)放給企業(yè);國家稅務總局也開始自建電子認證系統(tǒng)簽發(fā)數(shù)字證書，用戶可通過該證書實現(xiàn)網(wǎng)上報稅。此外，交通、財政、能源等行業(yè)已建或在建電子認證系統(tǒng)。這些行業(yè)的自建CA行為對電子認證服務行業(yè)產(chǎn)生了巨大沖擊，直接影響了多家機構已有業(yè)務的開展，造成有效證書發(fā)放量大幅減少，營業(yè)收入大幅降低;更嚴重的是，自建電子認證系統(tǒng)阻斷了行業(yè)重要的盈利點，削弱了整個電子政務領域的市場容量，擠壓了電子認證機構的生存空間。電子政務領域自建電子認證系統(tǒng)，給CA機構的生存和發(fā)展造成較大威脅。

電子認證服務專業(yè)人員嚴重匱乏。由于電子認證服務業(yè)是新興服務業(yè)，社會上對電子認證服務的理解和重視程度還遠遠不夠，加上我國相關學歷教育尚不完善，未形成產(chǎn)學研結合的人才培養(yǎng)體系，崗位從業(yè)認證機制不健全，人才隊伍建設尚不完善。同時，我國電子認證服務人才選拔和引進機制仍不完善，同時缺乏對現(xiàn)有人才隊伍開展的專業(yè)化培訓和繼續(xù)教育，導致從事電子認證服務的專業(yè)人員嚴重匱乏。據(jù)統(tǒng)計，目前電子認證服務機構從業(yè)人員總量僅5000余人，其中，專業(yè)技術人員所占的比例不足30%。專業(yè)人才以及既懂技術又懂管理的綜合性人才短缺已成為制約行業(yè)發(fā)展的重要因素。

CA機構服務能力面臨較大壓力?！盎ヂ?lián)網(wǎng)+”時代，傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)深度融合，各種互聯(lián)網(wǎng)應用層出不窮，信息化程度日趨深入。尤其是云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動電子商務等新興互聯(lián)網(wǎng)應用，對數(shù)據(jù)保密、訪問控制、責任追溯等有了更高要求，而電子認證數(shù)據(jù)加密、完整性認證、電子簽名等功能正好契合了新應用的需求。如何適應新時代互聯(lián)網(wǎng)的發(fā)展，如何在新興領域中充分發(fā)揮電子認證作用，是電子認證服務行業(yè)持續(xù)發(fā)展所面臨的首要問題。行業(yè)傳統(tǒng)的、以簽發(fā)數(shù)字證書為主要業(yè)務的模式，難以滿足新時期的市場要求，CA機構不僅需要簽發(fā)證書，還需要充分了解應用系統(tǒng)的業(yè)務流程和安全需求，并且有能力將證書應用在業(yè)務系統(tǒng)中，發(fā)揮證書在業(yè)務流程各個環(huán)節(jié)中的保障作用。這對認證機構技術研發(fā)能力、服務創(chuàng)新能力，以及從業(yè)人員的知識結構和綜合素質提出更高要求，需要認證機構掌握必要的核心技術，積累豐富的研發(fā)經(jīng)驗，培養(yǎng)一批專業(yè)的人才隊伍。新時期，電子認證服務機構能力建設將面臨更大壓力。

發(fā)展我國電子認證服務業(yè)的對策建議

完善配套政策法規(guī)、引導電子認證行業(yè)發(fā)展。電子認證服務業(yè)的發(fā)展需要多方面的保障和支撐，尤其是需要法律法規(guī)和相關政策方面的支撐，只有構建系統(tǒng)而完善的法律法規(guī)體系，才能充分保障電子認證服務業(yè)的健康、快速發(fā)展，促進行業(yè)應用，進而推動電子政務、電子商務等網(wǎng)絡應用的發(fā)展。針對目前電子政務業(yè)務互通性差的情況，應當盡快圍繞國發(fā)〔2018〕27號《指導意見》的部署，進一步完善我國《電子簽名法》《電子認證服務管理辦法》《電子認證服務密碼管理辦法》等法律法規(guī)。為按部署推進“一網(wǎng)通辦”工作做好法律法規(guī)方面的準備，同時將黨的十九大明確的中國特色社會主義新時代發(fā)展思路及部署完善到法律法規(guī)當中去，為簡政放權、放管結合、優(yōu)化服務完善法律法規(guī)方面的依據(jù)。

進一步加強監(jiān)管、提升電子認證服務行業(yè)標準。近年來，國際政治局勢、網(wǎng)絡安全形勢迅速變化。為了緊跟時代的發(fā)展，捍衛(wèi)國家網(wǎng)絡空間主權，我國于2017年6月1日正式實施了《中華人民共和國網(wǎng)絡安全法》。電子認證服務業(yè)作為網(wǎng)絡信任的重要支撐和信任根，其在網(wǎng)絡安全中發(fā)揮的作用將愈發(fā)明顯和重要。在工業(yè)和信息化部2018年組織的“雙隨機，一公開”檢查情況的公示中，部分電子認證服務機構在運營管理及技術系統(tǒng)存在隱患，部分管理制度執(zhí)行不到位，部分技術沒有跟上網(wǎng)絡安全形勢。伴隨公安部《網(wǎng)絡安全等級保護條例》進入司法程序，“等保2.0”時代即將來臨的大背景，應對電子認證服務機構應當進一步加強監(jiān)管，從而在國際網(wǎng)絡安全問題突出的形勢下確保我國網(wǎng)絡身份信任根的管理安全和平穩(wěn)運行。

規(guī)劃新興業(yè)務市場、倡導企業(yè)聯(lián)合培育。電子簽名法頒布14年來，各省市、地區(qū)電子認證服務機構經(jīng)歷了充分的行業(yè)內(nèi)競爭，已經(jīng)成為紅海市場。伴隨電子政務數(shù)字證書市場“一網(wǎng)通辦”“放管服”的深入推進，對于電子認證服務機構，應當在積極配合政府部門開展證書互通互認、減免收費的同時，對行業(yè)現(xiàn)狀進行突破，開發(fā)以服務器證書為代表的新領域，創(chuàng)造出屬于電子認證服務機構自己的市場藍海，從而實現(xiàn)整體行業(yè)的持續(xù)發(fā)展。在開拓市場時，應當極力避免在新市場內(nèi)盲目擴張、打價格戰(zhàn)等短視行為。應倡導企業(yè)聯(lián)合，從用戶教育和市場培育做起，讓用戶充分了解電子認證服務機構及電子簽名的法律效應、應用效果，培養(yǎng)起用戶的使用習慣，從而開拓出新興業(yè)務市場。

重視可信運營隊伍建設、構建網(wǎng)絡空間信任基礎。雖然近年來電子認證服務業(yè)發(fā)展良好，但目前整個行業(yè)中存在著重視市場開拓能力，輕視可信運營團隊的狀況。電子認證服務機構是我國網(wǎng)絡空間的信任根，是構建可信網(wǎng)絡空間體系的基礎，優(yōu)秀的管理和高質量的運營是企業(yè)立足的根本。一旦電子認證服務機構的運營出現(xiàn)問題，將會在目前的全媒體時代快速傳播曝光，直接導致公眾對于該機構的信任流失乃至信用破產(chǎn)。而對于電子認證服務機構，這樣的打擊是致命的，信用的問題將直接影響所有業(yè)務的開展，已經(jīng)開展的業(yè)務也將面臨用戶的投訴與指責，乃至被國際的網(wǎng)絡安全行業(yè)列入黑名單。在我國《網(wǎng)絡安全法》實施的大背景下，電子認證服務機構的可信運營隊伍重要性再度提高，應當大力加強CA運營隊伍人才的建設，確保核心安全運維人員擁有扎實的知識、豐富的經(jīng)驗與可靠的品德。為國家網(wǎng)絡空間安全戰(zhàn)略打好信任基礎。

試驗互聯(lián)網(wǎng)新技術、規(guī)劃技術未來方向。從2017年起，以區(qū)塊鏈為代表的互聯(lián)網(wǎng)新技術得到了資本市場的青睞產(chǎn)生了爆發(fā)式增長。區(qū)塊鏈技術作為一種分布式賬本的技術方案，它具有開放、去中心、交易透明以及數(shù)據(jù)不可篡改等特征，可能會對整個生產(chǎn)關系、社會結構產(chǎn)生巨大的影響。電子認證服務業(yè)也應投入適當?shù)木︻A研、試點相關應用，探索可能的落地及應用模式。深入研究提出依托電子認證服務的區(qū)塊鏈解決方案，推動CA機構積極參與到金融、電子商務等領域區(qū)塊鏈應用中去。